adj 2008-5-3 23:18
知名遊戲論壇網站遭中國不肖業者以DDoS攻擊勒贖
[table=98%][tr][td]從4月27日晚上10點開始,臺灣遊戲論壇業者巴哈姆特、遊戲基地,遭中國私服業者以DDoS攻擊勒贖。相關業者除了向警局備案之外,也正積極尋求相關的解決方案。
[/td][/tr][tr][td][/td][/tr][tr][td]4月27日晚上10點,中國私人伺服器業者針對臺灣2大熱門遊戲討論區巴哈姆特和遊戲基地,發動DDoS(分散式阻斷式攻擊),主要目的是勒索這些遊戲討論區業者,要求在網站免費刊登廣告。
目前相關業者不願向惡勢力低頭,除了向警局備案之外,也正積極尋求相關的解決方案。資安顧問則建議,除了尋求ISP業者的協助外,也可以藉由內含防阻DDoS攻擊的網路流量加速設備,或提高伺服器處理連線速度,以降低DDoS攻擊所造成的影響。
[b]中國私服業者囂張,攻擊勒贖臺灣遊戲論壇業者[/b]
巴哈姆特站長Sega在事發第2天,在部落格中發表一封公開信表示,巴哈姆特從4月27日晚上10點開始,便遭受到來自中國非法私人伺服器業者的DDoS連線攻擊,對方並致電要求巴哈姆特允許他們刊登《魔獸世界》私服的廣告。同樣的攻擊手法,在同一時間,也發生在臺灣另外一家線上遊戲討論業者遊戲基地。
這些中國私服業者就是盜版的線上遊戲業者。由於玩家只要到這些私服業者架設的非法伺服器玩線上遊戲,就會有相關的寶物交易,因而具有龐大的商機。也因此,以往由單純玩家架設的私人伺服器,在中國大陸已經轉為具規模的企業化經營。
巴哈姆特拒絕中國私服業者的勒索後,該公司行銷專員林盈妤表示,目前巴哈姆特仍斷斷續續遭到類似攻擊,除了向警察局備案外,技術部門人員也正積極尋求相關技術協助。
在4月28日下午4~5點,遊戲基地發現每秒200萬次Session的連線攻擊,擊潰了遊戲基地原本的防火牆。該公司技術副理陳冠儒說,因為原本就有汰換設備的打算,緊急向廠商借測更高等級的防火牆設備,在4月29日凌晨1點相關新設備就已經上線,也發揮應有的基本防護功能。
他表示,以往舊架構的許多設備的IP都還對外公開,這1年來做相關架構整併時,也一併處理設備IP公開的問題。也因此,「面對這次私服業者攻擊時,遊戲基地才能緊急透過更換設備做相關的阻擋、防護。」他說。
[b]ISP加大頻寬可舒緩DDoS攻擊[/b]
DDoS攻擊其實就是攻擊者利用分散在各地的電腦主機,發送大量IP封包,藉此癱瘓受駭者的電腦主機。遭受DDoS攻擊的網站無法提供正常的網路服務,成功接通率甚至只有1%以下。中華電信資安辦公室資安技術組長李倫銓表示,因為某一些產業的服務不能容許任何網頁延遲(Delay),成為駭客發動DDoS攻擊勒贖的誘因。
敦陽科技資深資安顧問楊伯瀚表示,這種DDoS攻擊主要是癱瘓網路流量,以及塞爆電腦主機連線,繼之造成主機當機、資料錯亂等災情。因此預防DDoS攻擊的手法,也可以從ISP業者和企業內相關網路和主機設備防護著手。
陳冠儒便說:「遊戲基地遭受攻擊的第一時間,就請求ISP業者的協助,事先過濾不正常的IP連線。」此外,臺灣各家ISP業者也都有提供由ISP業者協助企業用戶,找尋發動DDoS攻擊的來源IP進而阻斷的DDoS Migration服務。
李倫銓認為,目前有許多駭客都利用傀儡電腦(Botnet)做真實連線(TCP Full Connect),以發動DDoS攻擊,所有連線看起來都是正常行為,他建議:「先請ISP業者加大頻寬流量,舒緩DDoS攻擊狀態,再由ISP業者進行資安事件分析,過濾DDoS攻擊來源,通知遭到Botnet綁架的用戶,是現階段解決DDoS最有效的方法。」但李倫銓也承認,因為這樣的處理流程需要時間,以往經手的案例中,所需的時間多從1周至1個月不等。因而某些受害企業無法久候,而願意付錢了事。
[b]透過降流和提高伺服器處理速度,舒緩DDoS攻擊[/b]
除了由ISP業者協助避免網路連線中斷外,在降低主機連線的部分,有資安顧問建議,可以透過部署IPS(入侵防禦系統)再搭配L4交換器,對伺服器的連線做平均分配,避免某一臺伺服器連線數量過高,超過作業系統或伺服器本身的連線承載上限。
另外,也可以透過降流方式保護後端的伺服主機,或是使用內建預防DDoS模組的網路流量加速設備。楊伯瀚表示,目前預防DDoS攻擊的技術主要可分成SYN Proxy和SYN Cookie兩種。他說:「目前流量加速或者分流設備,常會搭配這類技術。」
所謂SYN Proxy就是在Web伺服器前端放一個網路設備,負責所有TCP連線,確認TCP連線正常後,才將連線訊息傳回後端伺服器。SYN Cookie就是以類似 Cookie 的方式,產生不能偽造的 SYN Cookie,作為與對方TCP溝通的標記,設備本身並不需占用資源來等待回應,減輕資源消耗,再搭配TCP/SSL Offload(TCP降流)與Multiplexing技巧,和網頁快取(Caching)技術以重整網路流量,減輕後端伺服器負載量。
「企業用戶也可以透過增加伺服器數量,或提高伺服器處理每秒Session連線的速度,」李倫銓表示,這樣的作法與加大頻寬作法類似。但他也提醒,這個方法彈性不夠好,伺服器投資往往是長期規畫,難做短期應變之用,企業應審慎評估相關成本效益。
波羅的海三小國中的愛沙尼亞,在2007年遭到來自俄羅斯的DDoS攻擊,所有的網路連線與相關服務全部被癱瘓。這也可以證明,任何可能阻斷網路服務的攻擊手法都是資訊戰的一種。刑事局科技犯罪防制中心研發室組長楊凱勝表示,目前有關單位已持續觀察相關的DDoS攻擊事件,企業用戶若有相關諮詢需求,該單位也可以提供相關諮詢協助。文⊙黃彥棻
[table=480][tr][td=6,1,556][size=2][align=center][b]舒緩DDoS攻擊的方式[/b][/size][/align][/td][/tr][tr][td=1,1,62][size=2]方式 [/size][/td][td=1,1,67][size=2]加大頻寬[/size][/td][td=1,1,89][size=2]DDoS Migration服務 [/size][/td][td=1,1,104][size=2]部署IPS加上L4交換器 [/size][/td][td=1,1,115][size=2]內建防阻DDoS模組的網路流量加速設備 [/size][/td][td=1,1,103][size=2]提升伺服器連線處理效能[/size][/td][/tr][tr][td=1,1,62][size=2]提供廠商[/size][/td][td=1,1,67][size=2]ISP業者 [/size][/td][td=1,1,89][size=2]ISP業者 [/size][/td][td=1,1,104][size=2]網路設備廠商 [/size][/td][td=1,1,115][size=2]F5、Citrix、 Radware等 [/size][/td][td=1,1,103][size=2]伺服器廠商[/size][/td][/tr][tr][td=1,1,62][size=2]優點[/size][/td][td=1,1,67][size=2]I SP可彈性加大頻寬,較有效 [/size][/td][td=1,1,89][size=2]企業用戶不用花錢買高階設備 [/size][/td][td=1,1,104][size=2]可以降低伺服器被塞爆的機會,主動封鎖可疑IP[/size][/td][td=1,1,115][size=2]透過降流方式保護後端的伺服主機 [/size][/td][td=1,1,103][size=2]提升Session連線處理速度,效果同加大頻寬[/size][/td][/tr][tr][td=1,1,62][size=2]缺點[/size][/td][td=1,1,67][size=2]事件處理時間較費時 [/size][/td][td=1,1,89][size=2]是一種不能間斷的投資[/size][/td][td=1,1,104][size=2]IPS設備貴,L4交換器需求數量多時,成本也高[/size][/td][td=1,1,115][size=2]設備費用較貴 [/size][/td][td=1,1,103][size=2]伺服器是長期投資, 難做短期應變[/size][/td][/tr][tr][td=6,1,543][size=2]資料來源:iThome整理,2008年4月 [/size][/td][/tr][/table][/td][/tr][/table]
From: [url=http://www.ithome.com.tw/itadm/article.php?c=48757]http://www.ithome.com.tw/itadm/article.php?c=48757[/url]